symfony:仅对API的access_control中的GET方法授予所有人访问权限,但如果用户没有令牌,则仍会获得未经授权的401

编程问答 2022-08-14

问题描述

我有一个使用Lexik JWT v2.8.0,gesdinet jwt刷新令牌v0.9.1和我自己的实体用户的Symfony 5.1项目。我可以使用JWT登录获取令牌,将其保存在HttpOnly cookie中并成功将其与受保护的API结合使用。

我已经使用/ api / user /路由实现了CRUD API,并且我不希望未登录用户能够更新或删除用户,因此我需要向未登录和已登录用户授予访问权限,以便创建和读取用户

我使用了另一种方式来创建用户/ api / register,并将其添加到具有IS_AUTHENTICATED_ANONYMOUSLY的access_control中,因此它可以与未登录用户正常工作。

但是要获取用户列表,我将/ api / user /路由与GET方法一起使用,因为该路由与PUT和DELETE方法共享,我只希望GET方法是可访问的。

我在security.yaml中的access_control是:

access_control:
    - { path: ^/api/user,roles: IS_AUTHENTICATED_ANONYMOUSLY,methods: [GET] }
    - { path: ^/api/linkpage,methods: [GET] }
    - { path: ^/api/login,roles: IS_AUTHENTICATED_ANONYMOUSLY }
    - { path: ^/api/token/refresh,roles: IS_AUTHENTICATED_ANONYMOUSLY }
    - { path: ^/api/register,roles: IS_AUTHENTICATED_ANONYMOUSLY }
    - { path: ^/api,roles: IS_AUTHENTICATED_FULLY }

但是,当我尝试让没有令牌的用户时,会收到一条401未经授权的消息,只有登录并拥有令牌的人才能拥有用户列表。

PD:如果我需要一个链接页面列表并且没有令牌,则使用GET方法的/ api / linkpage路由也会遇到同样的问题。

编辑:这是完整的security.yaml:

security:
    encoders:
        UserBundle\Domain\Entity\User:
            algorithm: auto

    providers:
        app_user_provider:
            entity:
                class: UserBundle\Domain\Entity\User
                property: email
    firewalls:
        dev:
            pattern: ^/(_(profiler|wdt)|css|images|js)/
            security: false
        login:
            pattern: ^/api/login
            stateless: true
            anonymous: true
            json_login:
                provider: app_user_provider
                check_path: /api/login_check
                success_handler: lexik_jwt_authentication.handler.authentication_success
                failure_handler: lexik_jwt_authentication.handler.authentication_failure
        refresh:
            pattern:  ^/api/token/refresh
            stateless: true
            anonymous: true
        register:
            pattern: ^/api/register
            stateless: true
            anonymous: true
        api:
            pattern: ^/api
            stateless: true
            provider: app_user_provider
            guard:
                authenticators:
                    - lexik_jwt_authentication.jwt_token_authenticator
        main:
            anonymous: true
            lazy: true
            provider: app_user_provider

    access_control:
        - { path: ^/api/user,methods: [GET] }
        - { path: ^/api/linkpage,methods: [GET] }
        - { path: ^/api/login,roles: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/api/token/refresh,roles: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/api/register,roles: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/api,roles: IS_AUTHENTICATED_FULLY }

解决方法

问题就在这里

api:
  pattern: ^/api
  stateless: true
  provider: app_user_provider
  guard:
    authenticators:
      - lexik_jwt_authentication.jwt_token_authenticator

受保护的情况下,您可以添加anonymous: true 

access_control:
  - { path: ^/api,roles: IS_AUTHENTICATED_FULLY }

您将明确列出未经身份验证的用户可以访问的其他路由。

access-controllexikjwtauthbundlesymfonysymfonysymfony5